Dick Kamp en Varsha Bindraban: Goed begrip van IT is cruciaal voor pensioenfondsbestuurders

18 februari 2025

Door Dick Kamp, Director Pension, Investment & Risk bij Milliman Pensioen, en Varsha Bindraban, zelfstandig IT Risk & Compliance manager
 
De relatie tussen informatietechnologie en pensioenfondsen is inniger dan ooit. De overgang naar het nieuwe pensioenstelsel is tegelijkertijd één van de grootste IT operaties van onze tijd. Sommigen van u hebben wellicht de millenniumbug meegemaakt. Wij denken denk dat de huidige operatie qua inspanningen hier minimaal gelijk aan staat. Het is dan ook uitermate belangrijk voor de pensioenfondsbestuurder om een goed begrip te hebben van de inzet van IT.

IT vormt een steeds groter onderdeel van de bedrijfsvoering binnen organisaties. Dat geldt zowel voor de rol die IT vervult binnen de bedrijfsprocessen als voor de kansen en risico’s die het gebruik en de ontwikkeling van IT met zich meebrengen. Genoeg redenen dus waarom dit een belangrijk focusgebied voor een pensioenfondsbestuurder zou moeten zijn.

Pensioenadministraties zijn bijzonder complex. Zoals onderstaande voorbeelden illustreren, komen hier verschillende problemen op het gebied van de inzet van IT bij kijken.

1) Hoge volumes en veranderende deelnemersbehoeften vergen een hoge mate van automatisering

De omvang van pensioenfondsen qua deelnemersaantallen is enorm. Tegelijkertijd is er een ontwikkeling gaande om pensioenen meer individueel te maken. Dit maatwerk brengt meer activiteiten met zich mee. Dat valt alleen te realiseren wanneer de pensioenadministratie zodanig geautomatiseerd is, dat op enkele uitzonderingen na geen handmatige mutaties meer nodig zijn. Een bijkomend voordeel van minder handmatige mutaties is tevens dat het risico op fouten als gevolg van menselijk handelen wordt beperkt.

2) Kostendruk

De kostendruk op pensioenfondsen is hoog. Automatisering en het behalen van schaalvoordelen zijn effectieve manieren om de kosten zo laag mogelijk te houden.

3) Uitbestedingsrelaties

Door de hoge kosten en de complexiteit die gemoeid zijn met de ontwikkeling van IT-systemen en de benodigde schaal wordt de pensioenadministratie gevoerd door een beperkt aantal (uitbestede) pensioenadministrateurs. Deze zitten op afstand van het pensioenfonds zelf. Hierbij geldt dat de pensioenadministrateur op zijn beurt weer afhankelijk kan zijn van een of meerdere aanbieders van specifieke functionaliteiten binnen het pensioenadministratieplatform (bijvoorbeeld een communicatieportal of een tussenadministratie).

4) Innovatie op het gebied van IT

Bij de doorontwikkeling van IT wordt steeds meer ingezet op het gebruik van innovaties, zoals kunstmatige intelligentie. Dit gebeurt op het gebied van de deelnemerscommunicatie, maar ook ten aanzien van de beslissystemen. Het is van vitaal belang dat, als dit soort innovaties worden ingezet (en daar zal uiteindelijk niet aan worden ontkomen), deze goed worden beheerst.

5) Veranderende deelnemersbehoeften vergen meer interactie en functionaliteit

Met de komst van de nieuwe pensioenwet zal de betrokkenheid en de keuzevrijheid van de deelnemer ten aanzien van zijn eigen pensioen groter worden, met als gevolg dat er meer interactie mogelijk/benodigd zal zijn. Hierdoor wordt meer gevergd van de functionaliteit van de pensioenadministratieplatformen.

6) Complexiteit van IT-landschap

Als het IT-landschap van een pensioenadministratie meer in detail wordt bekeken, bestaat deze uit verschillende deelsystemen die met elkaar communiceren. Deze systemen kunnen bij de pensioenuitvoerder zelf staan, maar kunnen ook uitbesteed zijn. Daarnaast is de pensioenadministratie maar een deel van de procesgang van een pensioenfonds. Kijkend naar vermogensbeheer is het IT-landschap minstens zo complex. Vermogensbeheerders maken ook gebruik van een diversiteit aan IT-systemen en zetten kunstmatige intelligentie in bij het maken van beleggingsbeslissingen. Een extra complicatie is dat bedrijven in de vermogensbeheersector ontzettend groot kunnen zijn en in hun activiteiten verschillende continenten overstijgen. De pensioenfondsbestuurder zelf heeft geen tot zeer beperkte invloed op het IT-beleid van deze bedrijven.

Hier bovenop zijn de risico’s op het gebied van cyber steeds prominenter aanwezig. Er zijn partijen in de wereld wiens bedrijfsmodel het is om IT-systemen te gijzelen. Hierdoor wordt de bedrijfsvoering van het pensioenfonds bedreigd. IT-systemen in de vermogensbeheersector zijn bijvoorbeeld zeer aantrekkelijk en er vinden dan ook continu aanvallen plaats binnen deze sector.

Overheden, centrale banken en toezichthouders maken zich gezien de rol die IT vervult binnen de bedrijfsvoering zeer bezorgd over de kwetsbaarheid van IT. Er worden daarom wetten ontwikkeld die beogen om de weerbaarheid van bedrijven met betrekking tot IT te vergroten. DORA is daar een actueel voorbeeld van.

De uitdaging

De uitgebreide en complexe rol die IT vervult, maakt het voor een pensioenfondsbestuurder niet eenvoudig om die te beheersen, te doorgronden of optimaal in te zetten. Terwijl de pensioenfondsbestuurder niet per definitie thuis is op dit terrein, is die toch eindverantwoordelijk voor de procesgang binnen een pensioenfonds.

Onder deze verantwoordelijkheid spelen bovenop de traditionele verantwoordelijkheden een diversiteit aan vraagstukken een rol, zoals:

• De formulering van strategische doelstellingen en de daarbij behorende business/IT alignment.
• De beheersing van risico’s ten aanzien van het gebruik van IT en het beheer van uitbestede diensten.
• De verplichting te (blijven) voldoen aan geldende wet- en regelgeving, welke steeds uitgebreider wordt. 

Aanpak

Behalve dat specialistische kennis over de verschillende facetten van enorme toegevoegde waarde kan zijn om deze moeilijk verenigbare uitdaging aan te gaan, kan een holistische en gestructureerde aanpak ondersteunen.

Hierbij kan het principe van Plan-Do-Check-Act worden gehanteerd.
 

Plan:

1. Maak een 'IT-foto': verkrijg (periodiek) een totaalinzicht in het IT-landschap.
   1. Is het IT-landschap nog toereikend voor de beoogde doelstelling en/of strategische ontwikkelrichting?
   2. Welke onder uitbestedingspartijen zijn hierbij betrokken?
2. Breng het kansen- en dreigingslandschap in kaart.
   1. Wat zijn de actuele dreigingen en zwakheden binnen het landschap?
   2. Welke ontwikkelingen zijn te verwachten en welke kansen en bedreigingen brengen die met zich mee?
3. Ontwikkel of herijk in een iteratief proces het eigen IT-beleid (inclusief beveiligingsbeleid) dat rekening houdt met technologische, wet- en regelgevingsontwikkelingen.
4. Zorg voor langjarige alignment tussen de eigen strategische ontwikkeling en die van de (onder)uitbestedingspartijen (hetgeen kan leiden tot heroriëntatie van de relatie).

Do:

1. Voer zowel het strategisch beleid als het IT-beleid uit zoals vastgesteld.
   1. Dit kan leiden tot het opnieuw aankopen, ontwikkelen of verbouwen van IT-platformen om de operationele bedrijfsvoering te blijven ondersteunen.
2. Implementeer daar waar nodig de mitigerende maatregelen om geïdentificeerde risico’s te beheersen.

Check:

1. Monitor externe ontwikkelingen op het gebied van wet- en regelgeving, technologie en cyberdreigingen.
2. Monitor de uitvoering van het IT-beleid en de effectiviteit van de operationele bedrijfsvoering.
3. Monitor de uitvoering van het IT-beleid van de (onder)uitbestedingspartijen en de blijvende aansluiting op het eigen IT-beleid.
4. Monitor de uitvoering van de strategie door de (onder)uitbestedingspartijen en de aansluiting op de eigen strategie.

Act:

1. Daar waar wordt afgeweken van het eigen IT-beleid, worden acties ondernomen om weer in lijn met het beleid te komen of wordt (indien benodigd) het IT-beleid herzien.
2. Evalueer de uitvoering van het IT-beleid van de (onder)uitbestedingspartijen en bespreek de bevindingen zodanig dat deze in lijn blijven met het eigen IT-beleid.
3. Evalueer de eigen strategie en pas deze zo nodig aan om aan de behoeften van het fonds te blijven voldoen.
4. Evalueer de uitvoering van de strategie van de (onder)uitbestedingspartij en stel vast dat deze nog steeds in lijn is met de eigen strategie en heroverweeg zo nodig de samenwerking

 
Conclusie

IT binnen pensioenfondsen is vitaal en complex. Je komt er als pensioenfondsbestuurder niet meer onderuit hier significante aandacht aan te besteden. Naast de huidige inzet van IT die noodzakelijk is om de complexe bedrijfsvoering operationeel te houden, zal aandacht moeten worden besteed aan de inzet van IT in de toekomst om het pensioenfonds in staat te stellen mee te gaan met de constant veranderende wereld, waarin ontwikkelingen als bijvoorbeeld AI een prominente rol zullen vervullen. Tegelijkertijd zijn risico’s met betrekking tot cyber en continuïteit eerder een gegeven dan een kans. Beheersing hiervan is dan ook een basisvoorwaarde voor een effectieve operatie geworden.

Met de eveneens mee ontwikkelende wet- en regelgeving en toezicht op het gebied van IT, cyber, continuïteit en het beheersen van uitbestedingsrelaties, dient ook op het gebied van compliance een gedegen actieplan te bestaan. Gelukkig staat de pensioenfondsbestuurder er niet alleen voor om ‘toekomstproof’ te worden.

Dit is de zesendertigste column in een serie over risicomanagement. De serie heeft tot doel de lezer te prikkelen om risicomanagement te beschouwen als een integraal onderdeel van het runnen van een pensioenfonds.
 
Varsha Bindraban houdt zich al 14 jaar bezig met IT audit en IT Risk Management-vraagstukken in een verscheidenheid aan sectoren in binnen- en buitenland. Nadat zij in 2023 afscheid nam van haar rol als Senior Manager in de IT Assurance & Advisory-praktijk binnen de Big Four, is zij haar eigen bedrijf gestart met als aandachtsgebied IT Risk & Compliance binnen de financiële sector. Dit doet zij vanuit de overtuiging dat het menselijke aspect binnen IT Risk & Compliance de belangrijkste factor is voor succesvol IT-risicobeheer. Zo adviseert zij management over onder andere DORA-gerelateerde vraagstukken en implementeert ze een verscheidenheid aan IT frameworks op een wijze die binnen de context en cultuur passend is.

Meer columns van Dick Kamp